Vilkår og betingelser for Mollie-fakturering

Disse tjenestevilkårene («Tjenestevilkår for Fakturering») utgjør en juridisk avtale mellom deg og organisasjonen eller enheten du representerer (heretter kalt «Organisasjonen», «du» eller «din») og Mollie B.V. og dets lisensgivere (heretter kalt «Mollie», «vi» eller «vår») for å regulere bruken av Faktureringstjenesten.

Tjenestevilkårene for Fakturering fastsetter vilkårene og betingelsene for din bruk av Faktureringstjenesten. Brukeravtalen, som gjelder for deg i sin helhet, forblir i kraft og suppleres av disse Tjenestevilkårene for Fakturering. Der Brukeravtalen er i konflikt med disse Tjenestevilkårene for Fakturering, vil disse Tjenestevilkårene for Fakturering ha forrang, men kun i forhold til Faktureringstjenesten og bruken av denne.

Følgende definisjoner gjelder i tillegg til definisjonene som er inkludert i Brukeravtalen eller andre avtaler mellom Mollie og Organisasjonen:

Ved å bruke Faktureringstjenesten godtar du  følgende vilkår:

1. Tjenestebeskrivelse

1.1 Mollies faktureringstjeneste er en digital faktureringsløsning utviklet for å hjelpe plattformer eller forhandlere med å effektivt opprette, tilpasse, sende og administrere fakturaer gjennom Mollie Dashboard eller Faktura-API ved å muliggjøre rask fakturaopprettelse, MVA-anvendelse, automatiserte betalingspåminnelser og sporing, samt flere betalingsalternativer for kunder («Faktureringstjenesten»).

2. Priser

2.1 Prisene for Faktureringstjenesten skal være i samsvar med www.mollie.com/pricing eller som på annen måte skriftlig avtalt mellom partene. 

3. Personopplysninger og databehandling 

3.1 Ved å bruke Faktureringstjenesten kan du bli pålagt å oppgi personopplysninger om dine kunder og brukere til Mollie, og Mollie kan behandle disse personopplysningene for at Faktureringstjenesten skal fungere. Du gir Mollie tillatelse og samtykke til å bruke dine personopplysninger, eller dine kunders opplysninger, og/eller gjøre personopplysninger om deg eller dine kunder tilgjengelige for tredjeparter, i den grad dette er nødvendig for å muliggjøre eller levere Faktureringstjenesten. Du anses som «behandlingsansvarlig» for alle personopplysninger som brukes til å generere fakturaer, og vi vil behandle personopplysninger som «databehandler» i samsvar med Vedlegg 1 (DATABEHANDLERAVTALE FOR MOLLIES FAKTURERINGSTJENESTE) og Mollies personvernerklæring, som er tilgjengelig på www.mollie.com/legal/privacy.

3.2 Uavhengig av eventuelle motstridende bestemmelser, garanterer du at du ved bruk av Faktureringstjenesten overholder, og vil fortsette å overholde, alle personvernkrav, inkludert, men ikke begrenset til, personvernforordningen («GDPR») eller tilsvarende personvernforordning eller lovgivning som gjelder for din virksomhet.

4. Dine forpliktelser og ditt ansvar

4.1 Du skal ikke bruke Faktureringstjenesten, eller tillate at den brukes, på en ulovlig eller upassende måte.

4.2 Du skal overholde gjeldende og fremtidige lover og forskrifter med hensyn til faktura- og/eller avgiftskrav. Ansvaret for å sikre at en faktura er nøyaktig og korrekt, inkludert anvendte MVA-satser, ligger utelukkende på deg. Hvis den gjeldende MVA-satsen på fakturaen din ikke støttes av Faktureringstjenesten (for eksempel på grunn av endringer i gjeldende MVA-satser i et land), skal du skriftlig varsle oss uten ugrunnet opphold, og vi vil vurdere, og om nødvendig, justere konfigurasjonsmulighetene i Faktureringstjenesten for å støtte den nye MVA-satsen.

4.3 Du er ansvarlig for å ta passende forholdsregler (regelmessig og i samsvar med risikoen involvert) for å sikre data og innhold som legges inn, lastes opp og lagres under din bruk av Faktureringstjenesten, samt for å opprette egne sikkerhetskopier for å sikre gjenoppretting av data og informasjon ved tap. Du skal, etter beste evne, forhindre uautorisert tilgang fra tredjeparter til Faktureringstjenesten.

4.4 Du har ikke rett til (med mindre annet er uttrykkelig skriftlig avtalt):

• å gjøre Faktureringstjenesten tilgjengelig i noen form for andre tredjeparter enn dine ansatte, agenter, kontraktører og andre tilknyttede brukere; eller

• å reprodusere, endre eller utføre omvendt utvikling (reverse engineering) av deler av, demontere, dekompilere eller oversette Faktureringstjenesten.

4.5 Du har gjort deg kjent med og samtykker i dine forpliktelser i henhold til Vedlegg 1.

5. Lisens og IP 

5.1 Du innvilges en ikke-eksklusiv, ikke-overførbar, ikke-underlisensierbar, verdensomspennende, gjenkallelig og midlertidig rett til å bruke Faktureringstjenesten. Faktureringstjenesten skal stilles til rådighet for deg utelukkende på en ikke-eksklusiv basis. Mollie er ikke forpliktet til å levere andre tjenester enn Faktureringstjenesten. Det gis ingen ytterligere bruksrettigheter i tilknytning til Faktureringstjenesten.

5.2 Du er utelukkende ansvarlig for å administrere brukerrettigheter, og du skal sørge for at alle brukere overholder restriksjonene i Mollies Brukeravtale og disse vilkårene når de bruker Faktureringstjenesten.

5.3 Alle immaterielle rettigheter og bruksrettigheter (bortsett fra lisensen som innvilges herunder) knyttet til Faktureringstjenesten, inkludert kildekode, databaser, funksjonalitet, programvare, nettsteddesign, lyd, video, tekst, fotografier og grafikk («IP-rettigheter»), forblir i sin helhet hos Mollie.

5.4 I den grad du får utlevert programvareutviklingssett («SDK-er»), inkludert oppdateringer av disse eller teknisk støtte, skal følgende spesielle bestemmelser for SDK gjelde:

• Du innvilges en ikke-eksklusiv, ikke-overførbar, gjenkallelig, royaltyfri lisens til å (i) installere og bruke SDK-en kun i objektkodeform for å utvikle programmer bestående av kompilert kode generert ved hjelp av SDK-en, eller deler av denne, utviklet for å fungere med produktet; (ii) ta et begrenset antall kopier av SDK-dokumentasjonen som kun skal brukes av dine ansatte eller konsulenter til utviklingsformål, og ikke for generelle forretningsformål eller for distribusjon; og (iii) distribuere SDK-en i objektkodeform kun som en komponent i produktet;

• Mollie har rett til, men er ikke forpliktet til, å tilby teknisk eller annen støtte for SDK-ene;

• SDK-ene inkluderer kode som utløser automatiske feilmeldinger som sendes av deg, og du samtykker i at Mollie har en evigvarende, uoppsigelig, ubegrenset rett til å bruke slik informasjon til sine forretningsformål, inkludert, men ikke begrenset til, produktstøtte og produktutvikling;

• hvis du bruker SDK-ene til å kjøre applikasjoner utviklet av deg selv eller en tredjepart, eller til å få tilgang til data, innhold eller ressurser levert av en tredjepart, godtar du at Mollie ikke er ansvarlig for disse applikasjonene, dataene, innholdet eller ressursene;

• SDK-ene lisensieres «som de er». Du bærer selv risikoen for bruken av dem. Mollie fraskriver seg alle garantier (lovbestemte, uttrykkelige eller underforståtte) og gir ingen garantier i forbindelse med din bruk av SDK-ene.

  
  

6. Ansvar og skadesløsholdelse

6.1 Mollie er ikke ansvarlig for feil, handlinger, unnlatelser eller manglende overholdelse som skyldes dine data, innstillinger eller din bruk av Faktureringstjenesten. Du er selv og fullt ut ansvarlig for å sikre at alle data som brukes til å opprette eller utstede fakturaer, inkludert anvendte MVA-satser, er i samsvar med gjeldende (skatte)lover i det relevante brukslandet. Mollie har ingen plikt til å verifisere nøyaktigheten, fullstendigheten eller korrektheten til data eller (MVA)-innstillinger konfigurert, levert eller brukt av deg gjennom Faktureringstjenesten. Du skal holde Mollie skadesløs for alle krav fra tredjeparter, ansvar, skader, tap, kostnader og utgifter (inkludert rimelige advokatutgifter) som oppstår som følge av eller i forbindelse med din bruk av Faktureringstjenesten, inkludert MVA-konfigurasjon. 

6.2 For å unngå tvil: I den grad Mollie er ansvarlig for eventuelle skader, skal vårt ansvar være begrenset i samsvar med Brukeravtalen.

Vedlegg 1: DATABEHANDLERAVTALE

Denne DATABEHANDLERAVTALEN (heretter «DPA») inkludert vedlegg beskriver partenes forpliktelser, inkludert i henhold til gjeldende personopplysningslovgivning, med hensyn til behandling av personopplysninger (som definert nedenfor). Denne DPA-en er innlemmet i Brukeravtalen.

Denne DPA-en er inngått mellom Organisasjonen (heretter «Behandlingsansvarlig»)

og 

Mollie B.V., et aksjeselskap (besloten vennootschap) med registrert kontoradresse i Amsterdam, Keizersgracht 126, 1015 CW Amsterdam, Nederland, og registrert i det nederlandske handelskammeret under nummer 30204462, (heretter «Mollie» eller «Databehandler»)

og 

Mollie UK Ltd., et aksjeselskap med registrert kontoradresse i London, 7 Pancras Square, London N1C 4AG, Storbritannia, og registrert i Companies House under nummer 14013554, (heretter «Mollie» eller «Databehandler»),

hver for seg referert til som en «Part» og i fellesskap kalt «Partene». 

Definisjoner 

I denne DPA-en har følgende begreper den betydningen som er angitt nedenfor. Begreper med stor forbokstav som brukes, men ikke er definert her, skal ha den betydningen som er angitt i Avtalen.

Avtalen
avtalen mellom Behandlingsansvarlig og Databehandler om levering av tjenester («Brukeravtalen»).

Konsernregler (Binding Corporate Rules)
retningslinjer for beskyttelse av personopplysninger som overholdes av en behandlingsansvarlig eller databehandler etablert på en medlemsstats territorium for overføringer eller en serie overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i ett eller flere tredjeland innenfor et konsern eller en gruppe foretak som utøver en felles økonomisk aktivitet.

Behandlingsansvarlig
den fysiske eller juridiske personen, offentlige myndigheten, institusjonen eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med og midlene for behandlingen av personopplysninger.

Kunde
kunder av Organisasjonen som ønsker å betale for produkter og/eller tjenester levert av Organisasjonen via Mollies Checkout.

Bortfall av datasikkerhet (Data Breach)
et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. 

Databehandleravtale
denne avtalen, inkludert alle vedlegg.

Tilsynsmyndighet
et uavhengig offentlig organ som er ansvarlig for å føre tilsyn med overholdelsen av gjeldende lover knyttet til behandling av personopplysninger. I Nederland er dette Autoriteit Persoonsgegevens, og i Norge er det Datatilsynet.

Vurdering av personvernkonsekvenser (Data Protection Impact Assessment)
en vurdering av konsekvensene av de planlagte behandlingsaktivitetene for vernet av personopplysninger. 

Personopplysningslovgivning
all gjeldende lovgivning knyttet til databeskyttelse og personvern, inkludert, men ikke begrenset til, EUs generelle personvernforordning (GDPR), alle lokale lover og forskrifter som endrer eller erstatter noen av disse, sammen med eventuelle nasjonale gjennomføringslover i ethvert medlemsland i Det europeiske økonomiske samarbeidsområdet (EØS), i den grad de er gjeldende, i ethvert annet land, som endret, opphevet, konsolidert eller erstattet fra tid til annen. 

Registrert
den fysiske personen personopplysningene gjelder (f.eks. Kunder).

GDPR
Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (generell personvernforordning). 

Personopplysninger
enhver opplysning om en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator som et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. 

Behandling
enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisk eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Denne listen er ikke uttømmende. Uttrykkene «behandle» og «behandlet» skal tolkes i samsvar med dette. 

Databehandler
en fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som behandler (person)opplysninger på vegne av den behandlingsansvarlige.

Organisasjon
organisasjonen som bruker Checkout fra Mollie til formål som inkluderer, men ikke er begrenset til, salg av produkter og/eller tjenester til Kunder.

Standardkontraktsbestemmelser (Standard Contractual Clauses)
Europakommisjonens standardkontraktsbestemmelser for databehandlere (2010/87/EU) eller Kommisjonens gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021 om standardkontraktsbestemmelser for overføring av personopplysninger til tredjeland i henhold til Europaparlaments- og rådsforordning (EU) 2016/679 (C/2021/3972).

Underdatabehandler
enhver tredjeperson, enhet eller selskap som engasjeres av Databehandleren til å behandle personopplysninger i forbindelse med levering av tjenestene i henhold til Avtalen. 

DEL A FORMÅL 

Artikkel A.1 Omfang

Databehandler har sagt ja til å levere tjenester til Behandlingsansvarlig i samsvar med vilkårene i Brukeravtalen. Ved levering av tjenestene vil Databehandler behandle personopplysninger på vegne av Behandlingsansvarlig som angitt i denne DPA-en. Databehandler behandler også personopplysninger i egenskap av behandlingsansvarlig som finansinstitusjon. 

Partene erkjenner og er enige om at i den grad Mollie behandler personopplysninger involvert i betalingstransaksjoner for å: i) oppfylle Brukeravtalen med Behandlingsansvarlig; ii) overvåke, forhindre og oppdage svindelaktige betalingstransaksjoner; iii) overholde juridiske eller regulatoriske forpliktelser knyttet til behandling og oppbevaring av betalingsopplysninger som gjelder for Mollie, inkludert hvitvaskingskontroll og overholdelse av «kjenn kunden din»-forpliktelser; og iv) forbedre Mollies produkter og tjenester, opptrer Mollie som behandlingsansvarlig og har enerett til å bestemme formålet med og midlene for behandlingen av personopplysningene selskapet mottar fra eller gjennom (levering av tjenester til) Behandlingsansvarlig.

Behandlingsaktivitetene, personopplysningene og kategoriene av registrerte som Databehandler behandler personopplysninger for på vegne av Behandlingsansvarlig, er spesifisert i Vedlegg A. 

DEL B FORPLIKTELSER 

Artikkel B.1 Behandlingsansvarliges forpliktelser 

Behandlingsansvarlig er ansvarlig for personopplysningene som Databehandler skal behandle, og skal sikre overholdelse av all personopplysningslovgivning, inkludert krav knyttet til overføring av personopplysningene i henhold til denne DPA-en og Brukeravtalen. Behandlingsansvarlig garanterer å ha rett til å behandle personopplysningene og har rett til å utnevne Databehandler til å behandle opplysningene på vegne av Behandlingsansvarlig.

Behandlingsansvarlig er enig i at, uten at det berører Databehandlers forpliktelser i henhold til denne DPA-en, er Behandlingsansvarlig utelukkende ansvarlig for sin bruk av tjenestene, inkludert (a) å gjøre hensiktsmessig bruk av tjenestene for å sikre et sikkerhetsnivå som er tilpasset risikoen for personopplysningene; (b) å sikre påloggingsinformasjon, systemer og enheter som Behandlingsansvarlig bruker for å få tilgang til tjenestene; (c) å sikre Behandlingsansvarliges systemer og enheter som brukes sammen med tjenestene; og (d) å opprettholde egne sikkerhetskopier av personopplysninger.

Artikkel B.2 Databehandlers forpliktelser 

Databehandler forplikter seg til å: 

1. bare behandle personopplysningene i samsvar med dokumenterte instrukser fra Behandlingsansvarlig, og skal ta nødvendige skritt for å sikre at enhver fysisk person som utfører arbeid under Databehandlers myndighet og som har tilgang til personopplysninger, kun behandler disse etter instruks fra Behandlingsansvarlig;

2. snarest informere Behandlingsansvarlig dersom en instruksjon vedrørende behandlingen av personopplysninger som Behandlingsansvarlig gir til Databehandler, bryter med gjeldende personopplysningslovgivning eller bestemmelsene i denne DPA-en;

3. implementere egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger, under hensyntagen til den teknologiske utviklingen, implementeringskostnadene og behandlingens art, omfang, formål og kontekst, samt risikoen av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter; og

4. uten ugrunnet opphold informere Behandlingsansvarlig dersom Databehandler mottar en klage eller forespørsel knyttet til noen av partenes forpliktelser under personopplysningslovgivningen som er relevant for denne DPA-en, inkludert ethvert erstatningskrav fra en registrert eller ethvert varsel, undersøkelse eller andre tiltak fra en tilsynsmyndighet, og gi Behandlingsansvarlig alle detaljer om en slik undersøkelse, klage eller forespørsel, med mindre dette er forbudt ved lov eller etter forespørsel fra tilsynsmyndigheten.
   
   

DEL C OVERFØRINGER OG UNDERDATABEHANDLERE

Artikkel C.1 Overføring av personopplysninger 

Der personopplysninger knyttet til en registrert i EU overføres utenfor EØS, skal de behandles av en enhet: (i) som befinner seg i et tredjeland eller territorium som Europakommisjonen har anerkjent som et land med et tilstrekkelig beskyttelsesnivå; eller (ii) som er underlagt EUs standardkontraktsbestemmelser og/eller UK International Data Transfer Agreement eller britiske SCC-tillegg; eller (iii) som har andre juridisk anerkjente og egnede garantier på plass, for eksempel konsernregler (Binding Corporate Rules), som garanterer samme nivå av beskyttelse og sikkerhetstiltak som denne DPA-en. 

Artikkel C.2 Underdatabehandlere 

Behandlingsansvarlig samtykker herved i Databehandlers bruk av underdatabehandlere spesifisert i Vedlegg B. Denne listen kan oppdateres av Databehandler fra tid til annen i samsvar med denne DPA-en.

Før en ny underdatabehandler engasjeres for tjenestene oppført i Vedlegg A, skal Databehandler varsle Behandlingsansvarlige som bruker den aktuelle tjenesten, og gi Behandlingsansvarlig minst ti (10) kalenderdager til å protestere, unntatt der Databehandler med rimelighet mener at det er nødvendig å engasjere en ny underdatabehandler raskt for å beskytte konfidensialiteten, integriteten eller tilgjengeligheten til personopplysningene eller for å unngå vesentlige driftsforstyrrelser i tjenestene som leveres. I så fall vil Databehandler gi slikt varsel så snart det er praktisk mulig. Hvis Behandlingsansvarlig innen fem (5) kalenderdager etter et slikt varsel skriftlig informerer Databehandler om at Behandlingsansvarlig innvender mot Databehandlers utnevnelse av en ny underdatabehandler basert på rimelige personvernhensyn, vil partene i god tro diskutere disse hensynene og om de kan løses. Innsigelser mot nye underdatabehandlere skal sendes til privacy@mollie.com. 

Behandlingsansvarlig erkjenner at underdatabehandlere er avgjørende for å kunne levere tjenestene, og at en innsigelse mot bruk av en underdatabehandler kan hindre Databehandler i å tilby tjenestene til Behandlingsansvarlig. Hvis partene ikke klarer å komme til enighet om en løsning på slike bekymringer, kan Behandlingsansvarlig, som sitt eneste og eksklusive særskilte rettsmiddel, si opp DPA-en uten oppsigelsestid.

Alle underdatabehandlere som behandler personopplysninger i forbindelse med levering av tjenester til Behandlingsansvarlig, skal overholde forpliktelsene i denne DPA-en. Databehandler skal, før utlevering av personopplysninger til en underdatabehandler, utføre tilstrekkelig due diligence for å sikre at underdatabehandleren er i stand til å levere det beskyttelsesnivået for Behandlingsansvarliges 

personopplysninger som kreves i denne DPA-en, og inngå en avtale med denne underdatabehandleren der underdatabehandleren forplikter seg til å overholde forpliktelser som tilsvarer dem som er fastsatt i denne DPA-en. 

DEL D SIKKERHET 

Artikkel D.1 Sikkerhetstiltak

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, herunder blant annet der det er hensiktsmessig:

1. pseudonymisering og kryptering av personopplysninger; 

2. evnen til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene; 

3. evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse; og 

4. en prosess for regelmessig testing, analysering og vurdering av hvor effektive de tekniske og organisatoriske tiltakene er for å sikre sikkerheten ved behandlingen. Ved vurdering av det hensiktsmessige 

sikkerhetsnivået skal det spesielt tas hensyn til risikoene som behandlingen innebærer, særlig ved utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Artikkel D.2 Varsling ved sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold etter å ha oppdaget det, varsle Behandlingsansvarlig om enhver utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger, såfremt sikkerhetsbruddet utelukkende er knyttet til Databehandlers behandling av personopplysninger i egenskap av databehandler. Dersom sikkerhetsbruddet gjelder personopplysninger der Databehandler anses som behandlingsansvarlig som beskrevet i Databehandlers personvernerklæring, forbeholder Databehandler seg retten til å håndtere sikkerhetsbruddet i egenskap av behandlingsansvarlig. 

En forsinkelse i varslingen om sikkerhetsbrudd på forespørsel fra politi-/påtalemyndighet og/eller i lys av Databehandlers rettmessige behov for å undersøke eller utbedre forholdet før det gis varsel, skal ikke anses som en ugrunnet forsinkelse. Slike varsler skal så langt det er mulig beskrive detaljene rundt sikkerhetsbruddet, inkludert tiltak som er iverksatt for å redusere potensielle risikoer. Uten at det berører Databehandlers forpliktelser i henhold til denne del D.1, er Behandlingsansvarlig alene ansvarlig for å overholde lover om varsling av sikkerhetsbrudd som gjelder for Behandlingsansvarlig, og for å oppfylle eventuelle forpliktelser til å varsle tredjeparter om sikkerhetsbrudd. Databehandlers varsling om eller respons på et sikkerhetsbrudd i henhold til denne del D.1 skal ikke tolkes som en erkjennelse fra Databehandlers side av skyld eller ansvar for sikkerhetsbruddet.

Eventuelle kostnader som påløper ved å løse sikkerhetsbruddet og implementere tiltak som er nødvendige for å forhindre et slikt sikkerhetsbrudd i fremtiden, skal bæres av parten som pådrar seg kostnadene. 

DEL E REVISJON

Artikkel E.1 Revisjonsrett 

Behandlingsansvarlig skal ha rett til å be om revisjonsrapporter fra Databehandler etter rimelig varsel, knyttet til behandlingen av personopplysninger innenfor rammen av tjenestene som leveres under denne DPA-en.

Revisjonsrapporter, som det henvises til i denne bestemmelsen, skal omfatte, men ikke være begrenset til, rapporter knyttet til sikkerhet, konfidensialitet og personverntiltak iverksatt av Databehandler i forbindelse med behandlingen av personopplysninger. Disse rapportene kan også dekke overholdelse av relevant personopplysningslovgivning.

Forespørsler om revisjonsrapporter skal gjøres skriftlig og sendes til privacy@mollie.com, med spesifisering av forespørselens omfang og formål. Databehandler skal bekrefte mottak av slike forespørsler i tide.

Mottak av revisjonsrapporter skal være underlagt profesjonell taushetsplikt. Behandlingsansvarlig kan kun bruke revisjonsrapportene for å oppfylle Behandlingsansvarliges lovpålagte revisjonskrav og for å bekrefte at Databehandlers behandling av personopplysninger er i samsvar med denne DPA-en. Revisjonsrapportene skal ikke deles eksternt.

DEL F VURDERINGER AV PERSONVERNKONSEKVENSER OG FORHÅNDSKONSULTASJONER

Artikkel F.1 Bistand

Databehandler skal bistå Behandlingsansvarlig med å utføre en vurdering av konsekvensene av behandlingen av personopplysninger (artikkel 35 GDPR) og med eventuelle konsultasjoner med en tilsynsmyndighet (artikkel 36 GDPR), dersom og i den grad en vurdering eller konsultasjon er påkrevd i henhold til personopplysningslovgivningen, og der det er tillatt og/eller påkrevd at Databehandler samarbeider.

DEL G DEN REGISTRERTES RETTIGHETER

Artikkel G.1 Bistand

Dersom Databehandler mottar en forespørsel fra en registrert i forbindelse med Behandlingsansvarliges personopplysninger, vil Databehandler råde den registrerte til å sende sin forespørsel til Behandlingsansvarlig og/eller videresende forespørselen til Behandlingsansvarlig, og Behandlingsansvarlig vil være ansvarlig for å besvare en slik forespørsel.

Etter anmodning fra Behandlingsansvarlig, og for Behandlingsansvarliges regning, vil Databehandler gi Behandlingsansvarlig den bistand som med rimelighet kreves for å overholde forpliktelser i henhold til personopplysningslovgivningen til å svare på forespørsler fra registrerte om å utøve sine rettigheter under personopplysningslovgivningen (f.eks. rett til innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse) i tilfeller der Behandlingsansvarlig ikke rimeligvis kan oppfylle slike forespørsler selvstendig via sin tilgang til Databehandlers produkter og tjenester.

DEL H DIVERSE BESTEMMELSER 

Artikkel H.1 Konfidensialitet 

Databehandler skal behandle alle personopplysninger konfidensielt, og skal sikre at alle ansatte, representanter, ledere og kontraktører som har tilgang til eller er involvert i behandlingen av personopplysninger, er klar over personopplysningenes konfidensielle natur, er kontraktsmessig forpliktet til å bevare konfidensialiteten og er informert om og overholder forpliktelsene i denne DPA-en.

Artikkel H.2 Ansvar

Alt ansvar som oppstår som følge av denne DPA-en vil bli regulert av de relevante bestemmelsene i Brukeravtalen, inkludert ansvarsbegrensninger. 

Uavhengig av bestemmelsene i Brukeravtalen skal hver part kun være ansvarlig overfor den andre parten for skader den påfører den andre parten ved brudd på denne DPA-en. Disse skadene skal dokumenteres tydelig. Databehandler vil kun være ansvarlig for skade forårsaket av behandlingen dersom den ikke har overholdt de forpliktelsene i personopplysningslovgivningen som er spesifikt rettet mot databehandlere, eller der den har handlet utenfor eller i strid med Behandlingsansvarliges lovlige instrukser som beskrevet i denne DPA-en. I den sammenheng vil Databehandler kun være erstatningsansvarlig dersom Behandlingsansvarlig beviser at Databehandler er ansvarlig for hendelsen som førte til skaden.

Behandlingsansvarlig skal være eneansvarlig overfor den registrerte, og den registrerte skal ha rett til å motta erstatning, for eventuelle materielle eller immaterielle skader Behandlingsansvarlig eller Databehandler (eller dens underdatabehandler(e)) påfører den registrerte ved brudd på denne DPA-en.

Artikkel H.3 Varighet og oppsigelse 

Varigheten av denne DPA-en skal sammenfalle med oppstarten av Brukeravtalen og/eller bruken av det spesifikke produktet eller tjenesten som er inkludert i Vedlegg A.

Denne DPA-en opphører automatisk ved opphør av Brukeravtalen og/eller bruk av det spesifikke produktet eller tjenesten som er inkludert i Vedlegg A, avhengig av hva som opphører først.

Ved opphør av denne DPA-en skal Databehandler, etter Behandlingsansvarliges valg, returnere personopplysningene til Behandlingsansvarlig eller til en databehandler utpekt av Behandlingsansvarlig, eller slette personopplysningene, med mindre Databehandler er pålagt å oppbevare en kopi i samsvar med lover i EU eller en av EU-medlemsstatene.

DEL I AVSLUTTENDE BESTEMMELSER 

Artikkel I.1 Hele avtalen 

Denne DPA-en utgjør en del av Brukeravtalen. Alle rettigheter og forpliktelser som følger av Brukeravtalen gjelder også for denne DPA-en. Vedlegg A utgjør en integrert del av denne DPA-en.

Artikkel I.2 Skriftlige endringer 

Endringer i denne DPA-en er kun gyldige dersom de er skriftlige og signert av autoriserte representanter for hver av partene. 

Artikkel I.3 Bestemmelsenes uavhengighet 

Hver av bestemmelsene i denne DPA-en er uavhengige og kan skilles ut. Dersom en bestemmelse, eller en del av en bestemmelse, blir funnet å være ugjennomførbar, ulovlig eller ugyldig helt eller delvis av en domstol, tilsynsmyndighet eller annen kompetent myndighet, skal den i den utstrekning anses for ikke å være en del av denne DPA-en, og gjennomførbarheten, lovligheten og gyldigheten til resten av denne DPA-en vil ikke bli påvirket. Partene er enige om å forsøke å erstatte enhver ugyldig eller ugjennomførbar bestemmelse med en gyldig eller gjennomførbar bestemmelse som i størst mulig grad oppnår samme virkning som

ville ha blitt oppnådd med den ugyldige eller ugjennomførbare bestemmelsen. Med unntak av endringer implementert gjennom denne DPA-en, forblir Brukeravtalen uendret og i full kraft og effekt.

Artikkel I.4 Retten til overdragelse 

Partene kan kun overføre denne DPA-en i tråd med Brukeravtalen (punkt 8.9). 

Artikkel I.5 Lovvalg og verneting 

Denne DPA-en skal reguleres av og tolkes i samsvar med nederlandsk rett. Hver av partene samtykker i at domstolene i Amsterdam har eksklusiv jurisdiksjon til å avgjøre eventuelle tvister som måtte oppstå i forbindelse med denne DPA-en. Dersom en domstol eller et forvaltningsorgan med kompetent jurisdiksjon skulle finne at en bestemmelse i denne DPA-en er ugyldig, ugjennomførbar eller ulovlig, skal de øvrige bestemmelsene i denne DPA-en fortsette å gjelde i full kraft. 

VEDLEGG A – SPESIFIKASJON AV BEHANDLING AV PERSONOPPLYSNINGER 

1. FORMÅLET MED BEHANDLINGEN

Behandling av personopplysninger er direkte knyttet til levering av tjenestene under Brukeravtalen.

Formålene med behandlingen er:

• Tvister

  • Legge til rette for administrasjon og løsning av tvister mellom Behandlingsansvarlig og Kundene via Mollies produkter og tjenester.

  • Gi Behandlingsansvarlig nødvendige verktøy og informasjon til å svare på tvistesaker, som for eksempel tilbakeføringer (chargebacks) eller betalingsforespørsler.

• Fakturering

  •  Legge til rette for sending av fakturaer til Behandlingsansvarliges Kunder via Mollies produkter og tjenester 

2. KATEGORIER AV REGISTRERTE 

Databehandler vil behandle personopplysninger til følgende kategorier av registrerte for Behandlingsansvarlig:

• Kunder av Behandlingsansvarlig: Betalerne (forbrukere eller bedriftskunder) som oppretter en betaling, forespørsel eller tvist.

Tvister

• Tredjepartsmottakere: Enkeltpersoner identifisert i leveringsdokumentasjon eller transaksjonsbevis som kanskje ikke er betaleren selv (f.eks. en person som mottar en gave på en leveringsadresse).

• Autoriserte representanter / ansatte hos Behandlingsansvarlig: Personell hos forhandleren hvis navn, kontaktdetaljer eller signaturer kan forekomme i tvistebevis, kommunikasjonslogger eller supporthenvendelser.

• Tredjepartsleverandører: Enkeltpersoner hvis opplysninger kan finnes i bevis levert av underdatabehandlere eller partnere (f.eks. budbilføreres navn på en mottakssignatur).

Fakturering

• Fakturaopplysninger (slik de legges inn av Behandlingsansvarlig)

3. TYPER PERSONOPPLYSNINGER 

Databehandler vil behandle følgende typer personopplysninger for Behandlingsansvarlig:

• Identitets- og kontaktopplysninger: Fullt navn, e-postadresse, telefonnummer og fakturaadresse til betaleren.

• Transaksjonsmetadata: Transaksjons-ID, ordresending, beløp, valuta, dato/klokkeslett og den spesifikke betalingsmetoden som ble brukt (f.eks. kredittkort, Klarna, iDEAL).

• Ordreoppfyllelse og logistikkdata: 

  • Forsendelsesdetaljer: Leveringsadresse (gate, husnummer, postnummer, sted, land).

  • Sporingsinfo: Transportørens navn, sporingsnumre og sanntidsstatuslogger for transport/levering.

  • Leveringsbevis: Digitale signaturer, tidsstempler for levering og bildedokumentasjon av leveringen (f.eks. bilde av pakken ved døren).

• Tvistebevis (ustrukturerte data): 

  • Opplastede filer: Eventuelle personopplysninger i dokumenter som lastes opp manuelt av Behandlingsansvarlig (f.eks. PDF-fakturaer, chatlogger fra kundesupport, skjermbilder fra WhatsApp eller e-postkorrespondanse).

• Tekniske identifikatorer: IP-adresser, enhetsfingeravtrykk og nettleser-metadata samlet inn på transaksjonstidspunktet (brukes til å bekrefte kundens posisjon og identitet for å bekjempe svindel).

Kategoriene med personopplysninger oppført ovenfor gjenspeiler det tiltenkte omfanget av behandlingen under denne Avtalen. Der personopplysninger som faller utenfor disse kategoriene tilfeldigvis deles eller er integrert i ustrukturerte data eller opplastede dokumenter, skal Databehandleren håndtere disse opplysningene med nødvendig aktsomhet og ta i bruk egnede tekniske og organisatoriske tiltak.

4. SIKKERHETSTILTAK 

Kontekst 

Som finansinstitusjon er de sikkerhetskontrollene og driftsprosedyrene Mollie har utviklet for våre applikasjoner, systemer og IT-prosesser underlagt tilsyn av den nederlandske sentralbanken (DNB), som igjen benytter retningslinjer fra Den europeiske banktilsynsmyndigheten (EBA) for tekniske standarder lisensinnehavere skal overholde. 

Siden Mollie (også) fungerer som behandlingsansvarlig for personopplysninger, er Mollie i tillegg regulert av annen lovgivning som stiller standarder for sikkerhet og personvern, og som håndheves av andre myndigheter – særlig personvernforordningen (GDPR) og det nederlandske datatilsynet (Autoriteit Persoonsgegevens). 

I tillegg er systemene som spesifikt behandler kortopplysninger nivå 1 PCI DSS-kompatible systemer, noe som betyr at denne spesifikke applikasjonen og prosedyrene for å utvikle og vedlikeholde den er underlagt personverntiltakene definert av PCI Council, og overholdelsen av disse evalueres årlig av en ekstern part. 

Generelle tiltak

Alle applikasjoner, systemer og tilhørende prosedyrer er underlagt Mollies informasjonssikkerhetspolicy. Høydepunkter fra denne og andre policyer som er relevante for omfanget av tjenestene som leveres, er:

• Bakgrunnssjekk av ansatte

• Sikkerhetsopplæringsprogram for utviklere

• Program for bevisstgjøring av sikkerhet

• Arbeidsoppdeling (segregation of duties)

• Endringsstyring

• Sårbarhetshåndtering

• Hendelseshåndtering (incident management)

• Robusthet- og sikkerhetskopiering (resilience and backup management)

• Streng tilgangskontroll (IAM og IGA)

• Evalueringer av brukerautorisasjon

• Standarder for systemklassifisering

• Dataklassifiseringsstandarder og datapolitikk

• Standarder for sikker konfigurasjon basert på bransjens beste praksis, håndheving av retningslinjer (herding)

• Fysisk og logisk nettverksmiljøsegregering

• Standarder for sikker kryptering

• Håndtering av krypteringsnøkler

• Kryptering (under overføring, ved lagring for delte infrastrukturmiljøer som nettsky)

• Risikostyring for tredjeparter

• Overvåking av tilgjengelighet og feil

• Sikker livssyklus for programvareutvikling (secure development life cycle)

  • Trusselmodellering ved vesentlige endringer og nye funksjoner

  • Avhengighetsstyring (dependency management) og skanning etter kjente sårbarheter

  • Statisk kildekodesikkerhetsanalyse

  • Intern og ekstern sårbarhetsskanning

• Koordinert sårbarhetsavdekking (CVD) og bug bounty-program

• Program for trusselovervåking (f.eks. deltakelse i det nederlandske PI-ISAC, informasjonssenter for betalingsinstitusjoner, og overvåking av det mørke nettet)

• Samarbeid med eksterne sikkerhetssentre (MSSP) for drift, analyse og etterforskning av sikkerhetshendelser

• Sikkerhetsinformasjon og hendelseshåndtering (SIEM)

• Endepunktsikkerhet for ansatte

• E-postsikkerhet

Mollie Platform

I tillegg til de generelle sikkerhetstiltakene skissert ovenfor, er Mollie Platform-applikasjonen dekket av følgende sikkerhetstiltak – enten som et resultat av implementeringen av våre generelle sikkerhetspolicyer eller som et risikoreduserende tiltak for å adressere en identifisert risiko i den applikasjonsspesifikke risikovurderingen:

• Kontroll på tilgang med tofaktorautentisering

• Tredjeparts penetrasjonstester

• Sikkerhetshendelses- og loggstyring

• DDoS-redusering

• Håndtering av sikkerhetshendelser

• Overvåking av tilgjengelighet

• Sikker lagring av påloggingsinformasjon

• Redundant infrastruktur

• Gjenoppretting ved systemkrasj og katastrofe (disaster recovery failover)

• Frekvensbegrensning (rate limiting) og konto-låsing

• Streng Content-Security-Policy

• Captcha

• Brannmur for webapplikasjoner (web application firewall)
  
  

VEDLEGG B – OVERSIKT OVER UNDERDATABEHANDLERE

Gjelder for brukere av tvisteproduktet

Gjelder for brukere av faktureringsproduktet